كشفت شركة Wiz عن استغلال نشط لثغرة خطيرة في منصة Gogs المستضافة ذاتيًا لإدارة Git، حيث تبيّن أن أكثر من 700 خادم قد تم اختراقها بالفعل من أصل نحو 1,400 خادم مكشوف على الإنترنت. وتحمل الثغرة المعرف CVE‑2025‑8110 بدرجة خطورة 8.7، وهي ناتجة عن خلل يسمح بالكتابة فوق الملفات عبر واجهة تحديث الملفات في Gogs.
وتقول Wiz إنها اكتشفت الثغرة بالصدفة في يوليو 2025 أثناء التحقيق في إصابة برمجية على أحد خوادم العملاء. ووفقًا لوصف الثغرة في CVE.org، فإن التعامل غير الصحيح مع الروابط الرمزية (symlinks) داخل واجهة PutContents يسمح بتنفيذ شيفرة محليًا.
تجاوز لإصلاح سابق وتنفيذ أوامر عبر SSH
تُعد الثغرة الجديدة تحايلًا على إصلاح سابق لثغرة خطيرة أخرى هي CVE‑2024‑55947، والتي كانت تسمح للمهاجم بكتابة ملفات في أي مسار داخل الخادم والحصول على وصول SSH. ورغم إصلاحها في ديسمبر 2024، فإن Gogs لم يأخذ في الاعتبار أن Git يسمح باستخدام الروابط الرمزية التي يمكن أن تشير إلى مسارات خارج المستودع.
وبذلك يستطيع المهاجم تنفيذ هجوم مكوّن من أربع خطوات:
- إنشاء مستودع Git عادي
- إضافة رابط رمزي يشير إلى ملف حساس خارج المستودع
- استخدام PutContents للكتابة عبر الرابط، مما يؤدي إلى الكتابة فوق الملف المستهدف
- تعديل ملف .git/config وتحديدًا قيمة sshCommand لتنفيذ أوامر تعسفية
حمولة خبيثة تعتمد على Supershell
أظهرت التحليلات أن البرمجية المستخدمة في الهجمات تعتمد على إطار Supershell مفتوح المصدر، والذي يُستخدم بكثرة من قبل مجموعات تهديد صينية لإنشاء اتصال SSH عكسي مع خادم المهاجم (119.45.176[.]196).
ومن اللافت أن المهاجمين تركوا المستودعات التي أنشأوها (مثل: IV79VAew / Km4zoh4s) دون حذف أو إخفاء، ما يشير إلى حملة سريعة وعشوائية تعتمد على أسلوب “اضرب واهرب”.
أكثر من 700 خادم مخترق بنفس النمط
وجدت Wiz أن جميع المستودعات المشبوهة تحمل أسماء عشوائية مكوّنة من 8 أحرف، وأنها أُنشئت جميعًا تقريبًا في 10 يوليو 2025، ما يرجّح أن جهة واحدة — أو مجموعة تستخدم نفس الأدوات — تقف وراء الهجمات.
لا يوجد إصلاح حتى الآن: إجراءات عاجلة لتقليل المخاطر
نظرًا لعدم توفر تحديث رسمي حتى اللحظة، توصي Wiz بما يلي:
- تعطيل التسجيل المفتوح في Gogs
- منع الوصول المباشر من الإنترنت
- فحص الخوادم بحثًا عن مستودعات بأسماء عشوائية من 8 أحرف
تهديدات إضافية: استغلال رموز GitHub PAT
إلى جانب ثغرة Gogs، حذّرت Wiz من أن جهات التهديد تستغل رموز الوصول الشخصية (PAT) المسربة من GitHub كنقطة دخول عالية القيمة إلى بيئات السحابة.
فحتى صلاحيات القراءة فقط تتيح للمهاجم:
- استخدام GitHub API للبحث داخل الأكواد
- استخراج أسماء الأسرار (Secrets) من ملفات YAML
- إنشاء مهام GitHub Actions خبيثة
- تنفيذ شيفرة ضارة
- تهريب الأسرار إلى Webhook خارجي دون المرور بسجلات Actions
وتزداد الخطورة إذا كان PAT يمتلك صلاحيات الكتابة، حيث يمكن للمهاجم تعديل المستودع وإخفاء آثاره بالكامل.
